传统的session认证以及其缺点

最新推荐文章于 2024-07-25 08:55:36 发布
最新推荐文章于 2024-07-25 08:55:36 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: 网络安全 文章标签: session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oqqaKun1/article/details/80667688
版权

定义:

http协议是一无状态协议,所以如果用户向后台应用提供了用户名和密码来进行认证,下一次请求时,用户还是要带上用户名和密码进行用户认证。为了使后台应用能识别是哪个用户发出的请求,只能在后台服务器存储一份用户登陆信息,这份信息也会在响应前端请求时返回给浏览器(前端),前端将其保存为cookie,下次请求时前端发送给后端应用,后端应用就可以识别这个请求是来自哪个用户了,这就是传统的session认证。

基于session认证显露出来的问题:

性能:

每一个用户经过后端应用认证之后,后端应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大,与REST风格不匹配。因为它在一个无状态协议里注入了状态。

扩展性:

用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

网络安全:

CSRF攻击因为基于cookie来进行用户识别, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

跨平台:

在移动应用上 session 和 cookie 很难行通,你无法与移动终端共享服务器创建的 session 和 cookie

a坤
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Session认证机制
weixin_45650502的博客
03-28 5403
不同开发模式下的身份认证: (1)服务端渲染推荐使用Session认证机制; (2)前后端分离推荐使用JWT认证机制。
session 认证机制
是阿瑶的博客呀~
10-11 268
1.HTTP 协议的无状态性 HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态 2. 如何突破 HTTP 无状态的限制 对于超市来说,为了方便收银员在进行结算时给 VIP 用户打折,超市可以为每个 VIP 用户发放会员卡. 注意:现实生活中的会员卡身份认证方式,在 Web 开发中的专业术语叫做 Cook 3. 什么是 Cookei Cookie 是存储在用户浏览器中的一段不超过 ...
不可靠的SESSION
左直拳的马桶_日用桶
11-07 2094
 不可靠的SESSION左直拳SESSION不可靠。按道理讲,使用Session.Abandon,当前会话就应该死翘翘,彻底消失。使用Session.Clear或Session.RemoveAll,内容也应该被铲除。但事实并非如此,在使用过程中,有时会遇到本应消失(用Abandon强行终止)或被替换了的SESSION借尸还魂,僵而不死的情况,时不时的跳出来,吓人一跳。但又不是次次如
面试题:常用的认证机制之session认证和token认证
最新发布
maizixuetang的博客
07-25 320
前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中;
ASP.NET:Session缺点总结及解决方法
lanhaizhixing的专栏
07-25 781
任何事情都有二面性,优缺点都是兼有的。在评价一个事物时,我们应该要全面地分析它的优缺点,否则评价也就失去了意义。今天我们还是在批评Session缺点前,先看看它的优点:只需要一行代码就可以方便的维持用户的会话数据。这其实是个伟大的实现!   但是,现在为什么还是有人会不使用它呢?比如我就不用它,除非做点小演示,否则我肯定不会使用它。为什么?   我个人认为这个伟大的实现,还是有些局限制性,或
session与token
Uzizi的博客
07-30 456
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
Session缺点总结及解决方法
qq_33358062的博客
09-25 3723
Session有些局限制性,或者说是一些缺点吧。现在我们再来看看Session缺点:    ①当mode="InProc"时,也就是默认设置时,容易丢失数据,为什么?因为网站会因为各种原因重启。    ② 当mode="InProc"时,Session保存的东西越多,就越占用服务器内存,对于用户在线人数较多的网站,服务器的内存压力会比较大。   ③当mode="InProc"时,程序的扩展...
JWT身份认证缺点分析以及常见问题解决方案.docx
10-26
- **传统 Session 认证下的风险**: 在使用 Cookie 保存 session_id 的情况下,攻击者可以通过构造恶意链接,使用户点击后自动携带其 session_id 发送请求,从而执行恶意操作。 - **JWT 如何规避**: 由于 JWT 通常...
浅谈JWT身份认证及其优缺点
江南烟雨却痴缠丶
03-27 5632
一、登录模式 在介绍JWT之前,我要先介绍一下常见的几种登录模式。 1、单一服务器模式(Session) 我们登录认证成功之后,将用户信息就存放在服务端(Session),然后将其对应的session_id存储在客户端(Cookie),从Cookie中取出session_id,服务端就可以根据这个session_id获取对应的Session,从而获取存储用户信息。 其优点是:Session自动续期,用户体验较好 其缺点是: ①没有分布式架构,无法支持横向扩展。即分布式架构的情况下,其他服务器是没有办法获取到
(一)基于Session认证方式
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 738
创建工程 本案例工程使用maven进行构建,使用SpringMVC、Servlet3.0实现。 创建maven工程 security-springmvc,工程结构如下: 引入如下依赖如下,注意: 1、由于是web工程,packaging设置为war 2、使用tomcat7-maven-plugin插件来运行工程 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"
HTTP Basic, Session, Token 三种认证方法简介
haiiiiiyun的博客
03-14 1340
1. 概述 本文简介 HTTP Basic,Session,Token 三种认证方法。 Basic 认证:户籍部门已给你签发了一张身份证。你每次去办事,都要带上身份证证,后台要拿你的身份证去系统上查一下。 Session 认证:户籍部门已给你签发了一张身份证,但只告诉你身份证号码。你每次去办事,只要报出你的身份证号码,后台要查一个即否有效。 Token 认证:户籍部门已给你签发了一张有防伪功能的...
Session认证,token认证和JWT
B_xuna的博客
11-15 638
session认证: HTTP协议是一种无状态协议,用户每访问一次应用,就需要重新进行一次认证,这显示很不方便。为了让后台应用能识别出是哪个用户发出的请求,就有了传统session认证: 在后台服务器存储一份用户登陆信息,这份信息也会在响应前端请求时返回给浏览器(前端),前端将其保存为cookie,下次请求时前端发送给后端应用,后端应用就可以识别这个请求是来自哪个用户了。 session认证过程: 浏览器第一次访问服务器 服务器生成一个session,为该session生成一个唯一.
用户认证机制之session认证的原理和缺点
魏波
10-12 1599
当我们第一次访问网站的时候,负载均衡将本地的请求分配到Web服务器A,那么session创建在Web服务器A,第二次访问的时候如果我们不做处理就不能保证还是会落到Web服务器A了。Session数据集中存储:将Session存入分布式缓存集群中,所有服务器应用实例统一从分布式缓存集群中存取Sessionsession机制方式基于cookie,在移动应用上无法有效使用,并且无法跨域,保持住会话的做法非常麻烦。(2)基于session认证认证方式,可以更好的在服务端对会话进行控制,且安全性较高。
cookie和session缺点对比总结
qq_46138057的博客
08-14 504
上一篇写了cookie详解,这篇对比列举一下cookie和session的优缺点以及再学习一下session。 cookie的优缺点 优点 缺点 存储在客户端,不占用服务器资源 只能是字符串格式,存储量有限,数据容易被获取篡改,容易丢失 session 首先,和cookie相比较,session是存储在服务器端的。 优点 缺点 可以是任何格式,存储量理论上是无限的,数据难以被获取、篡改、不易丢失 占用服务器资源 session的优点很多,但是它的缺点也是可以引起很大的
Session缺点
幻羽公子的博客
02-04 5212
许多人利用Session变量来开发ASP(Active Server  Pages)/JSP。这些变量与任何编程语言中通用的变量非常相似,并且具有和通用变量一样的优点和缺陷。任何命令都需要运行时间和存储空间(甚至GOTO’s语句如此),Session变量同样需要自己的运行时间和存储空间。过多地使用Session变量就会导致无法代码冗余,并且使服务器运行成本提高下面是我个人使用Session变量的
jwt认证机制优势和原理_三分钟带你了解JWT认证
weixin_39653733的博客
11-23 681
目录一、JWT简介二、JWT认证session认证的区别三、JWT认证流程四、JWT组成五、JWT使用场景一、JWT简介JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。更多信息可以查看官网:https://jwt.io/introductio...
Spring Security 基本流程源码解析 - 认证部分
QUSUPAO的博客
09-23 194
Spring Security 是一个强大、容易定制的、基于 Spring 开发的实现认证登录与资源授权的应用安全框架; 核心功能主要是:认证、授权、安全防护
用户认证Session
weixin_40270125的博客
01-02 986
密码和证书等认证手段,一般仅仅用于登录的过程。当登录成功后,就需要替换一个对用户透明的凭证,就是SessionID。 当用户登录完成后,在服务器端就会创建一个新的会话(Session),会话中保存用户的状态和相关信息。服务器端维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪一个Session,浏览器需要把当前用户持有的Session...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值